返回
pix访问控制列表和内容过滤

pix访问控制列表和内容过滤

ID:34137384

大小:238.42 KB

页数:9页

时间:2019-03-04

pix访问控制列表和内容过滤_第1页
pix访问控制列表和内容过滤_第2页
pix访问控制列表和内容过滤_第3页
pix访问控制列表和内容过滤_第4页
pix访问控制列表和内容过滤_第5页
资源描述:

《pix访问控制列表和内容过滤》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、PIX访问控制列表和内容过滤可以配置PIX防火墙使之有选择地允许某些流量通过其接口,这些配置方式有:基于源地址或目的地址;基于服务类型;基于验证、授权和计费(AAA)需求;基于内容或目的URL。ACL是由路由器和P1X防火墙维护的用来控制流量的一个列表。内容过滤可以阻止特定类型的内容(比如Javaapplets,ActiveX控件等)进入你的网络,还可以用来控制和阻止网络内部主机对受限的web站点的访问。一、访问控制列表使用access-list和access-group这两条命令可以实现ACLoaccess-list命令用来创建ACL,access-group命令用来把A

2、CL绑定到路由器或PIX防火墙的特定接口上。使用access-group命令在一个接口上只能绑定一个ACL。与使用CiscoTOS的路由器不同的是,在PTX防火墙上使用access-group命令只能将ACL绑定到任意接口的入站流量上。不过,在PIX防火墙上仍然能控制出站流量(例如,从inside接口到outside接口),但是必须使用access-groupaclidininterfaceinside命令将ACL绑定到inside接口上,从而控制从内部主机到inside接口的流量。access-list和access-group命令可以代替outbound或者condui

3、t命令,且access-list和access-group命令具有较高的优先级。当用来允许或拒绝流量时,access-list命令与conduit命令遵循同样的原理和规则。以下是设计和实现ACL时遵循的规则:•从较高到较低的安全性:—用ACL来限制出站流量;-ACL命令屮的源地址是主机或网络的实际地址。•从较低到较高的安全性:—用ACL来限制入站流量;-ACL命令中的目的地址是经过转换的全局地址。access-list命令使你可以指明允许或拒绝某TP地址访问某端口或协议。缺省情况下,访问列表屮的所有访问都是被拒绝。因此,需要允许访问时必须明确指出。在PIX防火墙6.3中加入

4、了对ACL编辑及注释的支持。该版本中可以为特定的ACL条目指定行编号,并把它放到ACL中的任意位置。当把主机的IP地址作为源或目的地址时,可以使用关键字host来代替网络掩码255.255.255.255。例如,下列ACL允许到主机192.168.1.1的FTP流量:access-listSAMPLEACLpermittepanyhost192.168.1.1eqftpshowaccess-list命令可以列出配置中的access-list命令语句,还可以列出access-list命令搜索过程中各元素的匹配命中统计。在6.3版本中,还可以显示出所有添加到ACL中的注释和每个

5、条FI的行编号。clearaccess-list命令将从配置中删除所有的access-list命令语句。如果指定了clearaccess-list命令中的acl_id参数,那么仅仅删除与该参数对应的ACL。如果指定counters选项,那么将清除指定ACL的匹配命中统计。使用clearaccess-list命令的同时会阻止与被影响的access-list命令语句相关的所有流量通过PIX防火墙。使用noaccess-list命令时,如果所提供的参数与已有的特定命令相匹配,那么将从配置中删掉该命令。当使用noaccess-list命令且仅指定相关ACL的名称时,整个ACL将被删

6、除。如:noaccess-listout_in如果一个ACL组中所有的access-list命令语句都已被删除,那么noaccess-list命令相当于从配置中删除相应的access-group命令。处理子网掩码的顺序相反之外,access-list命令在PTX防火墙中与CiscoIOS软件屮的语法是一样的。如,在CiscoIOS+access-list命令指定的子网掩码为0.0.0.255,那么在P1X防火墙中access-list命令将指定该子网掩码为255.255.255.0。以下列出了access-list命令的语法:access-listacl_TD[lineli

7、ne_num]deny

8、permitprotocolsource_addrsourcc_mask[operatorport[port]]dcstination_3ddrdcstineition_maskoperator[port[port]]access-listaclID[linelinenum]deny

9、permiticmpsourceaddrsourcemaskdestination_addrdestination_mask[icmptype]access-listacl_TD[lineline_num]re

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。